Une analyse de deux attaques de ran\u00e7ongiciels a chevauchements identifi\u00e9s<\/a> dans les tactiques, techniques et proc\u00e9dures (TTP) entre BlackCat et BlackMatter, indiquant un lien fort entre les deux groupes.<\/p>\n Alors qu’il est typique des groupes de ran\u00e7ongiciels de renommer leurs op\u00e9rations en r\u00e9ponse \u00e0 une visibilit\u00e9 accrue sur leurs attaques, BlackCat (alias Alphv) marque une nouvelle fronti\u00e8re dans la mesure o\u00f9 le cartel de la cybercriminalit\u00e9 est construit \u00e0 partir d’affili\u00e9s d’autres ran\u00e7ongiciels en tant que service (RaaS ) op\u00e9rations.<\/p>\n BlackCat est apparu pour la premi\u00e8re fois en novembre 2021 et a depuis cibl\u00e9 plusieurs organisations dans le monde au cours des derniers mois. Il a \u00e9t\u00e9 qualifi\u00e9 de similaire \u00e0 BlackMatter, une famille de ran\u00e7ongiciels de courte dur\u00e9e issue de DarkSide, qui a attir\u00e9 la notori\u00e9t\u00e9 pour son attaque tr\u00e8s m\u00e9diatis\u00e9e contre Colonial Pipeline en mai 2021.<\/p>\n Dans une interview avec Recorded Future’s The Record le mois dernier, un repr\u00e9sentant de BlackCat a rejet\u00e9 les rumeurs selon lesquelles il s’agirait d’un changement de marque de BlackMatter, tout en notant qu’il \u00e9tait compos\u00e9 d’affili\u00e9s associ\u00e9s \u00e0 d’autres groupes RaaS.<\/p>\n “En partie, nous sommes tous connect\u00e9s \u00e0 gandrevil [GandCrab \/ REvil]c\u00f4t\u00e9 noir [BlackMatter \/ DarkSide]labyrinthe [Maze \/ Egregor]lockbit, etc., parce que nous sommes des publicit\u00e9s (c’est-\u00e0-dire des affili\u00e9s)”, le repr\u00e9sentant anonyme \u00e9tait cit\u00e9<\/a> comme dit. “Nous avons emprunt\u00e9 leurs avantages et \u00e9limin\u00e9 leurs inconv\u00e9nients.”<\/p>\n “BlackCat semble \u00eatre un cas d’expansion commerciale verticale”, ont d\u00e9clar\u00e9 Tiago Pereira et Caitlin Huey, chercheurs de Cisco Talos. “Essentiellement, c’est un moyen de contr\u00f4ler la cha\u00eene d’approvisionnement en amont en rendant un service cl\u00e9 pour leur entreprise (l’op\u00e9rateur RaaS) mieux adapt\u00e9 \u00e0 leurs besoins et en ajoutant une autre source de revenus.”<\/p>\n De plus, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir observ\u00e9 un certain nombre de points communs entre une attaque BlackMatter en septembre 2021 et celle d’une attaque BlackCat \u00e0 partir de d\u00e9cembre 2021, y compris les outils et les noms de fichiers utilis\u00e9s ainsi qu’un domaine utilis\u00e9 pour maintenir un acc\u00e8s persistant au r\u00e9seau cible.<\/p>\n Cette utilisation superpos\u00e9e de la m\u00eame adresse de commande et de contr\u00f4le a soulev\u00e9 la possibilit\u00e9 que l’affili\u00e9 qui utilisait BlackMatter \u00e9tait probablement l’un des premiers \u00e0 adopter BlackCat, les deux attaques prenant plus de 15 jours pour atteindre l’\u00e9tape de cryptage.<\/p>\n “Comme nous l’avons vu \u00e0 plusieurs reprises auparavant, les services RaaS vont et viennent. Leurs affili\u00e9s, cependant, sont susceptibles de simplement passer \u00e0 un nouveau service. Et avec eux, de nombreux TTP sont susceptibles de persister”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n Les r\u00e9sultats surviennent alors que BlackBerry a d\u00e9taill\u00e9 une nouvelle famille de ran\u00e7ongiciels bas\u00e9e sur .NET appel\u00e9e LokiLocker<\/a> qui non seulement crypte les fichiers, mais int\u00e8gre \u00e9galement une fonctionnalit\u00e9 d’effacement facultative con\u00e7ue pour effacer tous les fichiers non syst\u00e8me et \u00e9craser l’enregistrement de d\u00e9marrage principal (MBR) si une victime refuse de payer dans un d\u00e9lai sp\u00e9cifi\u00e9.<\/p>\n “LokiLocker fonctionne comme un syst\u00e8me de ransomware en tant que service \u00e0 acc\u00e8s limit\u00e9 qui semble \u00eatre vendu \u00e0 un nombre relativement restreint d’affili\u00e9s soigneusement contr\u00f4l\u00e9s \u00e0 huis clos”, ont d\u00e9clar\u00e9 les chercheurs. Actif depuis au moins ao\u00fbt 2021, la majorit\u00e9 des victimes d\u00e9tect\u00e9es jusqu’\u00e0 pr\u00e9sent sont concentr\u00e9es en Europe de l’Est et en Asie.<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-experts-chinois-decouvrent-les-details-de-loutil-de-piratage.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647610673_564_Des-experts-decouvrent-que-certains-affilies-de-BlackMatter-propagent-maintenant.jpeg\")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646326908_645_Correctifs-critiques-publies-pour-la-gamme-Cisco-Expressway-les-produits.jpeg\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647610673_532_Des-experts-decouvrent-que-certains-affilies-de-BlackMatter-propagent-maintenant.jpeg\")
<\/div>\n